「稟議書」の中で、リスク評価について評価の仕方や書き方を教えてください。
2015/02/17 (2023/01/16)
ISMSサンプル文書集. 4,579 views
ISMS認証取得支援パッケージを購入させていただきました。
今回質問させていただきたいのが、「ISMSサンプル文書集」に収録されています「稟議書」の書き方となります。
稟議書の中で、リスク評価について評価の仕方や書き方を教えていただくことはできますでしょうか。
稟議書の「リスク評価」欄には、購入する資産に対して 「情報セキュリティ運営管理規程」の「4 情報処理設備 の認可手続き」の手順に従い 、「リスクマネジメント管理規程」の「5 詳細リスクアセスメント(6.1.2) 」の手順でリスクアセスメント を行い、その結果を記載することになります。
簡単にいいますと、購入する資産に対して「リスクグループ分析対策表」を使用してリスクアセスメント を行い、その結果を稟議書の「リスク評価」欄に記載するということになります。
「稟議書」の「リスク評価」欄の記載の流れ、および「リスクグループ分析対策表」の対比は以下のようになります。
①稟議書「リスク評価-リスク値」欄
「リスクグループ分析対策表」の「対策前リスク値、対策後リスク値 」欄の値を記載します。
②稟議書「リスク評価」の「対応」欄
先の①の値が12以上の場合は「必要」にチェックを、12未満の場合は「必要なし」にチェックします。
③稟議書「リスク評価」の対応が必要な場合の「対応策」欄
「リスクグループ分析対策表」の「対策」欄の内容を記載します。
④稟議書「リスク評価」の対応が必要な場合の「影響範囲」欄
先の③の対策実施時の影響範囲を記載します。
情報処理設備は、情報資産にリスクを与えるため、その導入には「リスクアセスメント」が必要となってきます。
その結果を、稟議書に記載し、承認を得るといった手続きになるということですね。
